应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
CreditoYa v2.1.0
62
安全评分
安全基线评分
62/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用安全状况良好,可正常使用
漏洞与安全项分布
0
高危
9
中危
2
信息
2
安全
隐私风险评估
3
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
0
中危安全漏洞
9
安全提示信息
2
已通过安全项
2
重点安全关注
0
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Broadcast Receiver (com.adjust.sdk.AdjustReferrerReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.INSTALL_PACKAGES [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: m5/b.java, line(s) 4,5,14 org/greenrobot/greendao/database/g.java, line(s) 5,41
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: e2/a.java, line(s) 3 e2/b.java, line(s) 3 f2/a.java, line(s) 3 q4/e.java, line(s) 10 r1/a0.java, line(s) 8 r1/c.java, line(s) 8 r1/l.java, line(s) 6 r1/y.java, line(s) 11 r3/n.java, line(s) 8 r3/x.java, line(s) 7 s1/b.java, line(s) 9
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: mx/ya/cash/BuildConfig.java, line(s) 5
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: l5/e.java, line(s) 66 n5/b.java, line(s) 126
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: p/r.java, line(s) 140
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "google_app_id" : "1:1080940344665:android:0ea07a832717ef0baf8848" "google_api_key" : "AIzaSyCpl7IIbEkmJWQ4HcBnQzE01XyA5v-RcAY" "google_crash_reporting_api_key" : "AIzaSyCpl7IIbEkmJWQ4HcBnQzE01XyA5v-RcAY" "ADJUST_KEY" : "vxm9cfp4baww"
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a1/b.java, line(s) 13,17,30,34 c/a.java, line(s) 103 com/baseflow/permissionhandler/a.java, line(s) 21 com/baseflow/permissionhandler/n.java, line(s) 53,73,77,218,226,232,240 com/baseflow/permissionhandler/o.java, line(s) 56,60,65 com/baseflow/permissionhandler/p.java, line(s) 71 com/ibeilly/kyc/camerax/CameraXActivity.java, line(s) 72,300,85 com/ibeilly/kyc/camerax/a.java, line(s) 185 e/g.java, line(s) 154,187,264 e0/f.java, line(s) 122 e5/f.java, line(s) 119 j5/a.java, line(s) 111,125,126,128 j5/b.java, line(s) 71,76 k0/a.java, line(s) 30 k5/a.java, line(s) 71 l5/e.java, line(s) 118,120,137,138,151,229 m5/e.java, line(s) 64,93,95,149 mx/ya/cash/App.java, line(s) 128 mx/ya/cash/datacollection/upload/bean/DaoMaster.java, line(s) 25,42 n5/b.java, line(s) 49 o0/a.java, line(s) 36 org/greenrobot/greendao/e.java, line(s) 7,11,15,19,23,27 p/l0.java, line(s) 105,107,111,115,120 u/c.java, line(s) 20
安全提示信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: a5/a.java, line(s) 29,29 n5/b.java, line(s) 73,73
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: e5/i.java, line(s) 39,39
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/1080940344665/namespaces/firebase:fetch?key=AIzaSyCpl7IIbEkmJWQ4HcBnQzE01XyA5v-RcAY ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
CreditoYa v2.1.0
Android APK
62
综合安全评分
低风险